Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
Standards bei der Authentifizierung und Autorisierung | Ping Identity
Basiswissen über Identität
Authentifizierung
Ein-Faktor-, Zwei-Faktor- und Multi-Faktor-Authentifizierung
Passwortlose Authentifizierung
FIDO (Fast Identity Online)
Risikobasierte Authentifizierung
Zertifikatsbasierte Authentifizierung
Tokenbasierte Authentifizierung
Single Sign-on (SSO)
Föderiertes Identitätsmanagement
CHAP-Authentifizierung
Was ist die kontinuierliche Authentifizierung?
Identitätsorchestrierung
Identitäts-und Access-Management
Identitätsprovider und Serviceprovider
Zentrales und dezentrales Identitätsmanagement
Zero Trust-Sicherheit
Standards bei der Authentifizierung und Autorisierung
OAuth
OpenID Connect (OIDC)
SAML
Autorisierung
Autorisierungsmethoden
Nutzer- und Kontenprovisionierung
So funktioniert Single Sign-on mit einem Verzeichnis
Was ist dynamische Autorisierung?
Authentifizierungs- und Autorisierungsprotokolle
LDAP
SCIM
WebAuthn
Kerberos
Was ist WS-Trust?
Expand All | Collapse All

Standards bei der Authentifizierung und Autorisierung


Die bekanntesten Frameworks und Standards für die Authentifizierung und Autorisierung im Identitäts- und Access-Management (IAM) sind OAuth, OpenID Connect (OIDC) und SAML (Security Assertion Markup Language).


Der Hauptunterschied zwischen diesen Standards besteht darin, dass OAuth (jetzt OAuth 2.0) ein Autorisierungs-Framework ist, das dem Schutz spezifischer Ressourcen wie Anwendungen oder Dateigruppen dient, während SAML und OIDC als Authentifizierungsstandards zur Absicherung von Anmeldeerfahrungen verwendet werden.
 

SAML


Security Assertion Markup Language (SAML) ist ein offener Standard, der Single Sign-on ermöglicht. Er ist der älteste der drei Standards und wird normalerweise von Unternehmen verwendet, um ihren Benutzern den Zugriff auf kostenpflichtige webbasierte Anwendungen und Dienste anzubieten. Salesforce und Gmail sind Beispiele für Anwendungen, auf die Mitarbeiter nach erfolgreicher SAML-Anmeldung zugreifen können.


SAML ist ein XML-basiertes Framework, d. h. es ist äußerst flexibel, kann auf jeder Plattform eingesetzt und über eine Vielzahl von Protokollen (z. B. HTTP und SMTP) übertragen werden. Die Authentifizierungsinformationen werden zwischen Identitätsprovidern und Serviceprovidern ausgetauscht, um die Identität und die Berechtigungen des Benutzers zu überprüfen und ihm dann den Zugriff auf die Anwendungen zu gewähren oder zu verweigern.


SAML ist in Unternehmen weit verbreitet und wurde entwickelt, um SSO für browserbasierte Anwendungen und Dienste zu unterstützen. Das SSO für mobile Anwendungen oder Anwendungen, die über APIs auf Ressourcen zugreifen, wird nicht unterstützt.
 

OAuth


OAuth (das jetzt OAuth 2.0 heißt) ist ein offenes Standard-Framework für die API-Autorisierung. Es ist wichtig zu beachten, dass OAuth ein Autorisierungs- und kein Authentifizierungsprotokoll ist, aber die Informationen über den Benutzer für Autorisierungszwecke verwendet werden können. Es legt fest, wie ein API-Client Sicherheitstoken erhält, die eine Reihe von Berechtigungen für die von dieser API bereitgestellten Ressourcen ausdrücken. 


Anstatt von einem Benutzer zu verlangen, dass er seine Anmeldeinformationen einer Anwendung weitergibt, damit diese auf eine weitere Anwendung zugreifen kann, delegiert OAuth die Autorisierungsentscheidungen an einen separaten Autorisierungsserver, der das Benutzerkonto hostet. Im Wesentlichen handelt OAuth im Namen des Benutzers und bietet delegierten Zugang zu einem Drittanbieterdienst, ohne dass der Benutzer seine Anmeldeinformationen an diesen Drittanbieter weitergeben braucht.


Der vielleicht wichtigste Punkt ist wohl, dass OAuth kein Authentifizierungsprotokoll ist. OAuth definiert zum Beispiel kein spezielles Token-Format oder einen allgemeinen Satz von Geltungsbereichen für das Zugriffstoken. Der Standard beeinflusst auch nicht, wie eine geschützte Ressource ein Zugriffstoken validiert.


OAuth unterstützt zudem Service-zu-Service- und Gerät-zu-Service-Anwendungsfälle, was bei SAML nicht der Fall ist.
 

OpenID Connect (OIDC)


Das OpenID Connect (OIDC)-Protokoll ergänzt OAuth 2.0 um eine Authentifizierungs- und Identitätsschicht und ist eines der modernsten Sicherheitsprotokolle, die es gibt. Wie auch OAuth delegiert es die Benutzerauthentifizierung an den Serviceprovider, der das Benutzerkonto hostet und Anwendungen von Drittanbietern autorisiert, darauf zuzugreifen. OIDC bietet aber auch Zugang zu mobilen Anwendungen, APIs und browserbasierten Anwendungen.  


Jedes Mal, wenn sich ein Benutzer mit OIDC bei einer Anwendung oder einem Dienst anmeldet, wird er zu seinem OpenID-Provider umgeleitet, wo er sich authentifiziert, um dann automatisch zu der Anwendung oder dem Dienst zurückzukehren.


OIDC dient in Situationen, in denen
 

  • Sie eine Anwendung von Grund auf neu entwickeln – vor allem, wenn Sie Ihre Anwendung auf mobilen Geräten verfügbar machen möchten.
     

  • Sie festlegen möchten, welche Aktionen ein Benutzer in einer Anwendung nach seiner Authentifizierung ausführen kann.
     

  • JWTs werden Ihnen mehr nützen als XML.

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.